Ransomware Pay2Key.I2P
Em meio à escalada das tensões entre Irã, Israel e EUA, uma sofisticada operação de Ransomware como Serviço (RaaS) chamada Pay2Key.I2P ressurgiu. Apoiada por interesses iranianos, essa campanha, com motivação financeira, mas também ideologicamente motivada, oferece maiores incentivos para cibercriminosos que visam Israel e os Estados Unidos. A variante atualizada introduziu novas táticas de infraestrutura e expandiu suas capacidades de ataque, marcando uma evolução preocupante no cenário de ransomware.
Índice
Uma ameaça familiar com um novo rosto
Associado pela primeira vez a ataques em outubro de 2020, o Pay2Key é há muito tempo associado a operações patrocinadas pelo Estado iraniano. Acredita-se que sua versão mais recente, Pay2Key.I2P, esteja conectada ao Fox Kitten (também conhecido como Lemon Sandstorm), um conhecido grupo de ameaças persistentes avançadas (APT). Notavelmente, acredita-se que esta campanha aproveite ou incorpore recursos do ransomware Mimic, aumentando sua sofisticação.
O modelo RaaS atualizado agora oferece uma participação nos lucros de 80%, um aumento em relação aos 70% anteriores, especificamente para afiliados alinhados aos interesses iranianos ou aqueles dispostos a realizar ataques contra adversários do Irã. Essa mudança demonstra uma clara combinação de motivações financeiras e ideológicas.
A ascensão da plataforma RaaS baseada em I2P
O que diferencia o Pay2Key.I2P é o uso do Projeto Internet Invisível (I2P) para hospedar toda a sua infraestrutura. Embora algumas famílias de malware tenham utilizado o I2P para funções de Comando e Controle (C2), o Pay2Key.I2P é a primeira operação RaaS conhecida a ser executada integralmente dentro dessa rede anonimizada. Isso adiciona uma camada de furtividade e resiliência que complica os esforços de remoção por parte das autoridades policiais.
Em fevereiro de 2025, o grupo alegou ter efetuado mais de 51 pagamentos de resgate bem-sucedidos, gerando mais de US$ 4 milhões em receita total, com operadores individuais lucrando até US$ 100.000. Esses números comprovam a escala e o sucesso da operação em um curto espaço de tempo.
Um evento particularmente notável ocorreu em 20 de fevereiro de 2025, quando um usuário da darknet, conhecido pelo pseudônimo "Isreactive", anunciou o ransomware em um fórum russo sobre crimes cibernéticos. A publicação permitia que qualquer pessoa implementasse o binário por um pagamento de US$ 20.000 por ataque bem-sucedido, inaugurando uma mudança na dinâmica do RaaS, permitindo uma participação mais ampla e maior captação de receita para os desenvolvedores.
Avanços técnicos e capacidades de furtividade
O Pay2Key.I2P demonstra refinamento constante, com o criador de ransomware ganhando recursos de segmentação para Linux a partir de junho de 2025. Sua variante para Windows é distribuída como um executável dentro de um arquivo autoextraível (SFX), usando técnicas avançadas para ignorar a detecção.
Alguns recursos principais incluem:
- Desabilitando o Microsoft Defender Antivirus durante a execução
- Apagando artefatos maliciosos para reduzir a pegada forense
Usando payloads disfarçados, como arquivos executáveis disfarçados de documentos do Microsoft Word, que então acionam scripts cmd para iniciar o processo de criptografia e liberar notas de resgate
Esses comportamentos furtivos tornam a detecção e a correção significativamente mais difíceis para os defensores.
Um panorama de ameaças mais amplo e implicações estratégicas
A Pay2Key.I2P é mais do que apenas uma empresa criminosa; representa uma frente de guerra cibernética alinhada aos interesses do Estado iraniano. Seus fundamentos ideológicos são evidentes por meio de seus incentivos de pagamento direcionados e seleção estratégica de vítimas.
Essa ameaça se desdobra em um cenário de tensões geopolíticas exacerbadas. Após ataques aéreos americanos a instalações nucleares iranianas, agências de inteligência americanas emitiram alertas sobre possíveis ataques cibernéticos retaliatórios. Entre maio e junho de 2025, pesquisadores registraram 28 ataques cibernéticos atribuídos ao Irã, com foco principal nos setores de transporte e manufatura dos EUA.
Os principais grupos iranianos do APT por trás dessas campanhas incluem:
- Água lamacenta
- APT33
- Plataforma de petróleo
- Cyber Vingadores
- Gatinho raposa
- Justiça da Pátria
Esses atores estão cada vez mais visando infraestrutura industrial e crítica tanto nos EUA quanto em países aliados, enfatizando a necessidade urgente de melhores defesas de segurança cibernética.
Conclusão: Prepare-se para uma ameaça em evolução
Pay2Key.I2P é um lembrete claro de como as ameaças de ransomware estão evoluindo para ferramentas de influência geopolítica e guerra cibernética. Com sofisticação técnica, altas recompensas para afiliados e motivações ideológicas, esta campanha não se trata apenas de dinheiro, mas de poder e disrupção. Organizações, especialmente aquelas em setores críticos, devem permanecer vigilantes, garantir que as vulnerabilidades do sistema sejam corrigidas e implementar estratégias de defesa proativas para combater essa ameaça emergente.
